Self-hosted cPanel-Alternative: Warum wir ShadowPanel gebaut haben
cPanel hat 2019 seine Preise erhöht und seitdem nicht zurückgeblickt. Hier erklären wir, warum wir eine selbst gehostete Alternative gebaut haben — und was das für Entwickler und Agenturen bedeutet, die pro Account bezahlen.
Der Tag, an dem cPanel seine Preise änderte
Im Juni 2019 kündigte cPanel still und leise eine Preisstrukturierung an, die die Wirtschaftlichkeit des Shared Hostings nachhaltig verändern sollte. Lizenzen, die bisher zu einem fixen Monatspreis erhältlich waren, wurden auf eine Account-basierte Abrechnung umgestellt — jeder gehostete Kunde erhöhte die monatliche Rechnung.
Für kleine Hoster mit ein paar Dutzend Websites war der Einfluss überschaubar. Für Agenturen und Entwickler, die Hunderte von Kundenseiten verwalteten, vervielfachte sich die Monatsrechnung schlagartig um das Drei-, Fünf- oder Zehnfache.
Die Community reagierte mit Frustration. Threads auf WHT und Reddit dokumentierten Betreiber, die hastig Kunden zu Alternativen migrierten. Einige blieben trotz der Preiserhöhung. Andere begannen, nach etwas anderem zu suchen.
Wir gehörten zu denen, die nach etwas anderem suchten.
Was kostenlose Panels gut machen — und wo ihre Grenzen liegen
Nach dem cPanel-Preisschock gewannen mehrere kostenlose und Open-Source-Panels an Fahrt: HestiaCP, CloudPanel, CyberPanel und aaPanel zogen jeweils ihre Nutzer an.
Für einfache Setups sind sie wirklich brauchbar. Aber nach Jahren im Produktions-Hosting stießen wir immer wieder an dieselben Grenzen:
White-Label und Reseller-Accounts — HestiaCP hat grundlegende Multi-User-Unterstützung, aber ein ordentliches Reseller-Angebot mit gebrandeten Unteraccounts, resellersspezifischen Site-Limits und isolierter Abrechnung ist entweder nicht unterstützt oder erfordert erhebliche Eigenentwicklung.
Moderne Entwickler-Workflows — Git Deploy mit signierten Webhooks, Docker-Container-Management, Staging-Umgebungen mit Ein-Klick-Push-to-Production: Diese Funktionen fehlen in den meisten kostenlosen Panels oder sind nachträglich angeflickt.
UI-Qualität — CloudPanel hat ein sauberes Design, aber die anderen liefern Oberflächen, die sich anfühlen wie 2012. Ein Entwickler, der in VS Code arbeitet und über GitHub Actions deployt, wird das sofort bemerken.
Sicherheitslage — CyberPanel hatte eine Reihe von hochkarätigen Sicherheitslücken. aaPanel liefert Telemetrie aus, die datenschutzbewusste europäische Betreiber beunruhigt. Das sind keine Dealbreaker, aber es lohnt sich, sie zu erwähnen.
Nichts davon ist eine Kritik an den Teams hinter diesen Panels — ein vollständiges Hosting-Control-Panel zu bauen ist wirklich schwierig, und sie haben es kostenlos getan. Aber nach unserer Bewertung kamen wir zu dem Schluss, dass die Kombination aus Agenturfunktionen + modernen Dev-Workflows + sauberem UI + vertrauenswürdiger Sicherheit in einem einzigen Produkt nicht existierte.
Was wir bauen wollten
ShadowPanel begann als internes Werkzeug. Wir brauchten ein Panel zum Hosten von Kundenseiten, das:
- Auf unserem eigenen VPS läuft — kein Account-basierter Phone-Home, keine Abhängigkeit von einer Drittanbieter-Control-Plane.
- Den vollständigen Stack abdeckt — DNS, E-Mail, SSL, Datenbanken, Backups, Firewalls — kein Deployer, der bei Nginx aufhört.
- Agentur-Workflows unterstützt — White-Label mit eigenem Logo und Farben, Reseller-Unteraccounts, Site-Kontingente pro Reseller.
- Modern wirkt — React-UI, Dark/Light-Mode, Tab-basiertes Site-Management, Echtzeit-Benachrichtigungen über SSE.
- Fair bepreist ist — eine einmalige oder jährliche Pauschallizenzen, kein Server- oder Account-basiertes Abonnement, das gegen einen arbeitet.
Nachdem wir es gebaut hatten, entschieden wir uns, es zu veröffentlichen.
Wie ShadowPanel funktioniert
Jede ShadowPanel-Installation umfasst:
Site-Verwaltung
Jede Website erhält ihren eigenen PHP-FPM-Pool, der unter einem dedizierten Linux-Benutzer läuft, mit open_basedir-Durchsetzung, um standortübergreifenden Dateizugriff zu verhindern. PHP-Versionen von 5.6 bis 8.4 können pro Website zugewiesen werden. Nginx-Vhosts werden automatisch verwaltet.
SSL
Let's Encrypt-Zertifikate werden bei der Site-Erstellung ausgestellt und automatisch erneuert, wenn sie eine 30-Tage-Ablaufschwelle erreichen. Wildcard-Zertifikate werden unterstützt.
Datenbanken
Jede Website erhält eine isolierte MySQL/MariaDB-Datenbank und einen dedizierten Benutzer, die vom privilegierten Daemon bereitgestellt werden — keine geteilten root-Zugangsdaten.
Vollständiger E-Mail-Stack über Postfix und Dovecot: Postfächer erstellen, Passwörter setzen, auf Webmail zugreifen. DNS-Einträge werden automatisch erstellt.
DNS
BIND9-Zonen und -Einträge werden über die Panel-Oberfläche verwaltet, mit Unterstützung für die Hetzner DNS API bei externem DNS.
Backups
On-Demand- und geplante Backups in S3-kompatiblen Speicher (Pro/Agency). Archive werden optional mit AES-256 GPG verschlüsselt.
Sicherheit
UFW-Firewall-Verwaltung, Fail2ban-Konfiguration und CrowdSec-Integration — alles sichtbar und konfigurierbar über das Dashboard.
Architektur: Warum wir Rechtetrennung ernst nehmen
Der Teil, auf den wir am stolzesten sind, ist die Architektur. Die meisten Panels führen alles als Root oder als einzelnen privilegierten Prozess aus. ShadowPanel teilt die Verantwortlichkeiten auf:
Browser → HTTPS → Nginx
└→ Unix-Socket → API-Prozess (User: shadowpanel)
└→ Unix-Socket → Daemon (User: root)
Die API übernimmt Authentifizierung, Validierung, Rate-Limiting und Geschäftslogik. Sie berührt nie direkt das Dateisystem und führt keine Befehle aus.
Der Daemon stellt über einen Unix-Socket eine strikte Whitelist typisierter, Zod-validierter Befehle bereit. Jeder Befehl verwendet execFile — niemals exec, niemals Shell-String-Verkettung. Ein kompromittierter API-Prozess kann keine Privilegien über das hinaus eskalieren, was die Whitelist erlaubt.
Admin-Aktionen, die Lizenzen oder Rollen ändern, erfordern eine Zwei-Faktor-Prüfung, die im JWT eingebettet ist. Redis-Cache-Einträge für Benutzerberechtigungen sind HMAC-SHA256-signiert, sodass ein Redis-Schreib-Kompromiss einen Benutzer nicht zu einem Admin eskalieren kann.
Was ShadowPanel noch nicht kann
Ehrlichkeit ist wichtig. ShadowPanel ist ein relativ junges Produkt. Zum heutigen Zeitpunkt:
- Kein Windows-Support — nur Ubuntu 22.04 und 24.04 LTS.
- Kein OpenLiteSpeed — nur Nginx + PHP-FPM. LiteSpeed steht derzeit nicht auf der Roadmap.
- Kein integriertes CDN — Sie müssen Cloudflare oder ein ähnliches CDN separat konfigurieren.
- Kein Marketplace — noch kein Plugin-Ökosystem. Erweiterungen stehen auf der Roadmap.
- Nur Community-Support im kostenlosen Tarif — bezahlte Pläne beinhalten Priority-Support per E-Mail.
Wir möchten, dass Sie es mit diesem Wissen installieren, anstatt es nach einer Migration zu entdecken.
Loslegen — Kostenloser Tarif, keine Kreditkarte
ShadowPanels kostenloser Tarif unterstützt 3 Websites auf einem einzelnen Server, ohne Zeitlimit und ohne Kreditkarte.
Installation auf einem frischen Ubuntu 22.04 oder 24.04 VPS:
curl -fsSL https://shadowpanel.de/install.sh | bash
Das Installationsskript benötigt 5–10 Minuten und gibt am Ende Ihre Admin-Zugangsdaten aus. Öffnen Sie https://<ihre-domain>:2087 zum Einloggen.
Wenn Sie mehr als 3 Websites benötigen oder Pro-Funktionen (Git Deploy, Docker, Staging, automatische Backups, 1-Klick-Installer) möchten, sehen Sie die Preisseite.
Bleiben Sie auf dem Laufenden
Wir veröffentlichen regelmäßig Updates. Abonnieren Sie den Changelog, um über neue Versionen benachrichtigt zu werden. Bei Problemen öffnen Sie ein Support-Ticket oder treten Sie der Discord-Community bei.
Wir haben das gebaut, weil wir es selbst brauchten. Wir hoffen, dass es auch für Sie nützlich ist.